Share via


Solucionar problemas de eventos ou alertas ausentes para Microsoft Defender para Ponto de Extremidade no Linux

Aplica-se a:

Este artigo fornece algumas etapas gerais para mitigar eventos ou alertas ausentes no portal Microsoft Defender.

Depois que Microsoft Defender para Ponto de Extremidade tiver sido instalado corretamente em um dispositivo, uma página do dispositivo será gerada no portal. Você pode examinar todos os eventos registrados na guia linha do tempo na página do dispositivo ou na página de caça avançada. Esta seção soluciona o caso de alguns ou todos os eventos esperados estão ausentes. Por exemplo, se todos os eventos CreatedFile estiverem ausentes.

Eventos de rede e logon ausentes

Microsoft Defender para Ponto de Extremidade estrutura utilizada audit do linux para acompanhar a rede e a atividade de logon.

  1. Verifique se a estrutura de auditoria está funcionando.

    service auditd status
    

    saída esperada:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Se auditd estiver marcado como parado, inicie-o.

    service auditd start
    

Em sistemas SLES , a auditoria SYSCALL em auditd pode ser desabilitada por padrão e pode ser contabilizado para eventos ausentes.

  1. Para validar que a auditoria SYSCALL não está desabilitada, liste as regras de auditoria atuais:

    sudo auditctl -l
    

    se a linha a seguir estiver presente, remova-a ou edite-a para permitir que Microsoft Defender para Ponto de Extremidade acompanhe SYSCALLs específicos.

    -a task, never
    

    As regras de auditoria estão localizadas em /etc/audit/rules.d/audit.rules.

Eventos de arquivo ausentes

Os eventos de arquivo são coletados com fanotify estrutura. Caso alguns ou todos os eventos de arquivo estejam ausentes, verifique se fanotify está habilitado no dispositivo e se o sistema de arquivos tem suporte.

Liste os sistemas de arquivos no computador com:

df -Th

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.